PrintNightmare è una vulnerabilità critica emersa negli scorsi giorni nel servizio di Windows Print Spooler, che come lascia intuire il nome si occupa di gestire tutto il processo di stampa. Secondo le indagini dei ricercatori confermate da Microsoft stessa, circolano già dei malware che sfruttano il bug per compromettere i sistemi; è insomma urgente chiudere la falla e mettere in sicurezza il proprio computer. La buona notizia è che una patch correttiva è stata rilasciata lo scorso mese, con il Patch Tuesday di giugno; la cattiva è che non è efficace al 100% contro le varianti più recenti.

In breve, il problema è che il servizio non limita l'accesso alla funzione RpcAddPrinterDriverEx(), che viene generalmente usata in fase di installazione di un driver; quindi un hacker che si è autenticato da remoto può sfruttarla per eseguire codice non autorizzato. Per esempio, la funzione potrebbe essere indirizzata a un driver presente su un server remoto. Per il momento l'unico modo di essere al 100% sicuri è disabilitare completamente il servizio, ma si perde completamente ogni possibilità di stampare; oppure di disattivare la stampa da remoto tramite i Criteri di Gruppo. Almeno in quest'ultimo caso la stampa locale si riesce a mantenere in funzione.

Microsoft ha confermato che il bug è presente in tutte le versioni di Windows, ma non ha ancora stabilito con certezza in quali di esse rappresenta una vulnerabilità effettivamente sfruttabile dagli hacker. La vulnerabilità risolta dalla patch del mese scorso è identificata con la sigla CVE-2021-1675; quella nuova, invece, è la CVE-2021-34527. Il problema è emerso nel momento in cui Microsoft ha pubblicato la prima patch: prima di scoprire che non era efficace al 100%, i ricercatori avevano pubblicato su GitHub i dettagli tecnici della vulnerabilità, come da prassi. Quando se ne sono accorti, hanno prontamente cancellato ogni traccia pubblica, ma ormai era troppo tardi.

Per riferimento, ricordiamo che le patch di giugno sono in distribuzione dal secondo martedì dello scorso mese. Le tre versioni di Windows 10 attualmente disponibili per i normali utenti privati, ovvero la 2004, la 20H2 e la 21H1, vengono tutte aggiornate dalla medesima patch, ovvero la KB5003637. I numeri build sono, rispettivamente, 19041.1052, 19042.1052 e 19043.1052.